22款burpsuite常用插件

admin 2024年2月28日11:08:34评论33 views字数 7539阅读25分7秒阅读模式
免责声明

安全圈子我最菜(本公众号)的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!

前言

Burp Suite是一款强大的用于Web应用程序安全测试的工具。Burp Suite的一个关键特性是通过扩展功能的使用来扩展其功能。这些扩展允许用户自定义Burp Suite以满足他们特定需求,简化他们的工作流程。此外,扩展可用于将Burp Suite与其他工具和平台集成,扩大安全测试的范围和效率。使用Burp Suite扩展还可以帮助消除手动任务,节省安全专业人员的时间和资源。

Active Scan++

22款burpsuite常用插件

Active Scan++是一款强大的Burp Suite扩展,可以增强Burp Suite的主动扫描功能。该扩展使用先进的技术和算法来识别Web应用程序中的漏洞,包括跨站点脚本、SQL注入和不安全的直接对象引用。此外,Active Scan++还可以检测认证、授权和会话管理中的问题,为Web应用程序安全测试提供全面的覆盖。Active Scan++的一个突出的功能是其能够准确和高效地识别应用程序中的潜在注入点,使其成为任何Web应用程序安全专业人员的不可或缺的工具。通过利用Active Scan++,您可以确保在渗透测试过程中充分准备好应对任何挑战。

增强的主动扫描功能,可以识别Web应用程序中的漏洞

先进的载荷生成和注入技术,用于测试漏洞

扫描设置的定制和阈值,以提高扫描效率

与Burp的漏洞报告和管理功能的集成

优先处理某些区域或请求,以实现聚焦扫描

支持同时测试多个目标应用程序

Backslash Powered Scanner

22款burpsuite常用插件

Backslash Powered Scanner是一款强大的Burp Suite扩展,可以帮助安全专业人员识别Web应用程序中的漏洞。该工具使用先进的技术来查找漏洞,包括SQL注入、跨站点脚本(XSS)和其他常见的漏洞利用方法。此外,Backslash Powered Scanner还具有集成其他Burp Suite工具的能力,如入侵者和扫描仪模块,以提供Web应用程序安全状况的全面视图。Backslash Powered Scanner是任何安全专业人员要保证他们Web应用程序安全性和完整性的必不可部分。它是一款易于使用、可靠的、高效的工具,将帮助您快速有效地识别和修复漏洞。

允许对Web应用程序进行自动扫描,以识别漏洞

可定制扫描设置和配置

支持同时扫描多个Web应用程序

提供详细的扫描结果报告,包括已识别漏洞的信息以及建议的修复步骤

Autorize

22款burpsuite常用插件

Autorize是一款Burp Suite扩展,可以帮助您轻松管理和自动化Web应用程序的授权过程。使用Autorize,您可以创建自定义的授权规则,并将它们应用到特定的URL或URL组。这可以帮助简化您的测试过程,因为您不必须手动输入授权凭据以便为每个请求。此外,Autorize还与其他Burp Suite工具集成,例如扫描仪和重复器,允许您执行经授权的扫描和测试L。总的来说,Autorize是一款非常有价值的工具,对于任何安全专业人员来说,都在寻找简化和优化他们的Web应用程序测试工作流程的人。

允许在Burp Suite内自动授权请求

可以设置特定URL或参数的规则,以自动授权

可以定义自定义授权头或令牌以添加到请求中

可以处理多种授权类型,包括基本身份验证和OAuth

在Burp Suite界面中提供视觉指示,显示已授权的请求

可以保存和加载授权配置,以便在不同项目中重复使用。

Sentinel

22款burpsuite常用插件

Sentinel Burp Suite扩展是一个强大的工具,用于检测和预防Web应用程序中的安全漏洞。它使用先进的技术来识别潜在的注入点、弱身份验证和授权措施,以及会话管理问题。该扩展提供明确的和可操作的建议,用于修复漏洞,让开发人员轻松改进应用程序的安全性。通过与Burp Suite框架的无缝集成,Sentinel是任何安全专业人员必备的工具,用于保护其Web应用程序免受威胁。

允许自动扫描Web应用程序,以检测XSS和SQL注入漏洞

根据严重程度和类型识别和分类漏洞

Reflector

22款burpsuite常用插件

Reflector是Burp Suite的一个有用的扩展,用于在浏览网页时实时查找反射型跨站脚本漏洞。它提供了几个有用的功能,包括在响应标签中突出显示反射内容、测试反射中允许的符号、分析反射上下文以及内容类型白名单。这些功能帮助您更有效地识别和缓解网站上的潜在安全风险。

具有查找跨站脚本漏洞的能力

支持多个反射配置,允许针对不同类型的请求和响应使用不同的反射设置

HTTP Request Smuggler

22款burpsuite常用插件

HTTP请求劫持Burp Suite扩展是测试Web应用程序安全性的强大工具。它允许用户执行HTTP请求劫持攻击,可以用于绕过安全控制并暴露应用程序中的漏洞。借助此扩展,用户可以轻松地构造并发送恶意请求到目标应用程序,并分析响应以识别任何潜在的安全问题。该扩展易于使用,并与其他Burp Suite工具无缝集成,使其成为任何安全测试工具包的宝贵补充。总的来说,HTTP请求劫持扩展对于任何希望提高其Web应用程序安全性的人来说都是必不可少的。

测试和识别HTTP请求劫持漏洞

操纵HTTP头和请求以绕过安全措施

自定义请求劫持负载和注入点

J2EEScan

22款burpsuite常用插件

J2EEScan是一个功能强大的Burp Suite扩展,专门设计用于扫描Java EE Web应用程序。它可以检测与身份验证、授权和会话管理相关的各种漏洞,并提供修复建议。该扩展还具有识别应用程序内潜在注入点的能力,使其成为安全专业人员的宝贵工具。J2EEScan的一个关键优势是其与其他Burp Suite工具的集成,如入侵者和扫描器模块,这使得测试更加全面。总的来说,J2EEScan是任何与Java EE应用程序一起工作的安全专业人员的必备工具。

扫描Java EE Web应用程序中的漏洞

识别应用程序内潜在的注入点

提供已识别漏洞的修复建议

允许自定义扫描设置和策略

InQL Scanner

22款burpsuite常用插件

InQL扫描器是一个强大的Burp Suite扩展,帮助安全专业人员识别和利用GraphQL API中的漏洞。它提供了广泛的功能,允许用户轻松高效地发现和测试GraphQL端点,并识别和利用可能存在的任何漏洞。凭借直观的界面和广泛的功能,InQL扫描器是任何希望保护其GraphQL API的人必不可少的工具。无论您是初学者还是经验丰富的安全专业人员,InQL扫描器都是您工具包中的宝贵补充。

检测并报告由于不正确使用InQL(注入查询语言)而引起的漏洞

允许手动输入InQL查询以测试漏洞

提供目标应用程序的InQL查询结构的图形表示

生成所有已识别漏洞和潜在利用路径的报告

CORS*, Additional CORS Checks

22款burpsuite常用插件

CORS*, Additional CORS Checks是一个Burp Suite扩展,帮助识别潜在的跨域资源共享漏洞。CORS是一种安全特性,用于控制Web应用程序如何访问其他域中的资源。该扩展通过提供额外的CORS配置检查,增强了Burp Suite的功能,如果未正确配置,这可能导致安全漏洞。通过使用这个扩展,渗透测试人员可以更有效地识别和缓解潜在的CORS问题,确保正在测试的Web应用程序得到适当的保护,免受跨域攻击的影响。

允许测试跨域资源共享(CORS)策略,并提供额外的CORS漏洞检查

可以确定服务器是否正确配置以允许或限制来自其他来源的资源访问

可以帮助检测与CORS策略相关的潜在安全风险

403 Bypasser

22款burpsuite常用插件

403 Bypasser是一个Burp Suite扩展,帮助安全专业人员在测试Web应用程序时绕过HTTP 403(禁止)错误消息。该扩展允许用户轻松修改请求头并绕过服务器设置的限制。它特别适用于识别可能被意外留开以供访问的隐藏目录和文件。403 Bypasser是任何安全测试人员的必备工具,因为它可以帮助他们发现可能被传统测试方法忽视的潜在漏洞。它与Burp Suite的无缝集成使其成为任何安全工具包的有价值的补充。

在Web应用程序安全测试期间自动检测和绕过403禁止错误

允许测试人员在无需手动绕过403错误的情况下继续测试

与Burp Suite集成,无缝地将绕过403错误的功能纳入测试工作流程

可定制的设置,以调整扩展程序如何处理403错误

提供所有绕过的403错误的报告,方便在测试过程中进行跟踪

Flow

22款burpsuite常用插件

Burp Suite的Flow扩展是一个强大的工具,用于分析Web应用程序中的HTTP请求和响应。它允许用户查看和操纵客户端和服务器之间的通信流,深入了解应用程序的功能,并可能暴露漏洞。使用Flow,用户可以分析请求和响应的内容和结构,在实时中修改它们,并跟踪这些修改对应用程序行为的影响。这个扩展对于渗透测试人员和安全专业人员尤其有用,他们希望揭示Web应用程序中的弱点并改善其整体安全性姿态。

允许用户在Burp Suite中查看、过滤和分析HTTP流量。

提供HTTP请求和响应流的可视化表示。

允许用户查看单个请求和响应的详细信息,包括头部、主体和参数。

允许用户根据关键词或参数搜索特定的请求和响应。

允许用户识别和分析HTTP流量中的潜在安全漏洞。

WSDL Wizard

22款burpsuite常用插件

WSDL Wizard Burp Suite 扩展是测试 Web 服务应用程序的宝贵工具。它允许用户导入和分析 WSDL(Web 服务描述语言)文件,提供对应用程序安全漏洞的彻底分析。该扩展与其他 Burp Suite 工具(例如 Scanner 和 Intruder 模块)无缝集成,以提供 Web 服务的全面安全评估。其用户友好的界面使得即使是新手用户也可以轻松分析 WSDL 文件并识别潜在的安全风险。总体而言,WSDL 向导扩展是任何安全专业人员测试 Web 服务应用程序的必备工具。

自动生成多种格式的Web服务请求(SOAP、XML-RPC等)

能够使用 Burp 的拦截代理和扫描器测试 Web 服务

支持 WSDL 1.1 和 WSDL 2.0 规范

请求生成的可定制选项,包括指定特定方法和输入参数的能力

Turbo Intruder

22款burpsuite常用插件

Turbo Intruder 是一个功能强大的 Burp Suite 扩展,可实现高效且有效的 Web 应用程序测试。其独特的设计允许对 Web 目标进行高速、多线程攻击,使其成为任何渗透测试人员的宝贵工具。借助 Turbo Intruder,用户可以轻松执行暴力攻击、分析响应并自定义有效负载。对于任何希望彻底测试其 Web 应用程序安全性的安全专业人员来说,此扩展是必备的。其先进的功能和用户友好的界面使其成为 Web 应用程序渗透测试的首选。

对 Web 应用程序进行快速高效的暴力攻击

可定制的有效负载和攻击设置

支持多线程和服务器进行并行测试

Retire.js

22款burpsuite常用插件

Retire.js 是一个功能强大的 Burp Suite 扩展,可帮助识别和减少 Web 应用程序中易受攻击的 JavaScript 库的使用。它扫描 JavaScript 库的过时且可能不安全的版本,并提供更新到更安全版本的建议。该工具对于确保 Web 应用程序的安全至关重要,因为 JavaScript 库因其广泛使用和可能被利用的漏洞而经常成为攻击者的目标。通过使用 Retire.js,开发人员可以在任何潜在的安全风险被利用之前主动识别并解决它们。通过与 Burp Suite 生态系统的无缝集成,Retire.js 可以轻松维护 Web 应用程序的安全并防止潜在的漏洞。

自动识别和测试 JavaScript 库和框架中的漏洞的过程

提供有关经过测试的库和框架的安全性的综合报告

允许用户自定义他们的测试设置并专注于特定的库或框架

利用不断更新的已知漏洞数据库来确保最准确和最新的测试

JSON Web Tokens

22款burpsuite常用插件

JSON Web 令牌 (JWT) Burp Suite 扩展是一个强大的工具,用于测试和保护使用 JSON Web 令牌进行身份验证和授权的应用程序。通过此扩展,您可以解码和验证 JWT,以及出于测试目的操作它们。JWT 扩展还允许您测试漏洞,例如弱签名算法和刷新令牌的不安全处理。总体而言,JWT 扩展是任何使用 JSON Web 令牌的应用程序的安全专业人员的必备工具。它与 Burp Suite 其余部分的集成使其成为测试和保护应用程序的工具包的宝贵补充。

能够在 Burp Suite 中解码和分析 JSON Web 令牌 (JWT)

可以选择手动输入 JWT 或通过 Burp Suite 的代理自动拦截它们

能够查看和修改 JWT 中的声明

签名和加密 JWT 的选项

支持 JWT 的多种算法和格式

能够生成用于测试目的的自定义 JWT。

Content Type Converter

22款burpsuite常用插件

Content-Type Converter Burp Suite 扩展对于 Web 应用程序测试人员来说是一个有价值的工具。它允许用户修改 Burp Suite 代理中请求和响应的内容类型。这对于测试可能以不同方式处理不同内容类型的应用程序非常有用。例如,内容类型为“application/json”的请求的处理方式可能与内容类型为“application/xml”的请求不同。通过修改内容类型,测试人员可以确保应用程序正确处理所有潜在的内容类型。Content Type Converter 扩展易于使用,并与其他 Burp Suite 工具无缝集成,使其成为任何 Web 应用程序测试人员工具包的必备工具。

能够转换 HTTP 请求的内容类型

支持多种内容类型,包括 HTML、XML 和 JSON

能够在发送之前预览转换后的请求

BurpJSFinder

22款burpsuite常用插件

JS Finder 是 Burp Suite 的扩展,可帮助安全专业人员发现和分析 Web 应用程序中的 JavaScript 代码。该工具对于识别应用程序中的潜在漏洞和不安全的编码实践特别有用。它允许用户搜索 JavaScript 代码中的特定关键字或模式,以及突出显示和解码混淆的代码。借助 JS Finder,用户可以轻松识别并解决 Web 应用程序中任何潜在的安全问题,确保它们尽可能安全。对于任何希望彻底评估其 Web 应用程序安全性的安全专业人士来说,此扩展都是必不可少的工具。

识别并突出显示 Web 应用程序响应中的 JavaScript 文件

提供应用程序内 JavaScript 使用情况的详细信息,包括唯一文件的数量和使用位置

与 Burp Suite 的主动和被动扫描器功能集成,以便在评估期间持续测试 JavaScript 文件。

SAML Raider

22款burpsuite常用插件

SAML Raider 是 Burp Suite 的扩展,可帮助安全专业人员评估基于 SAML 的单点登录 (SSO) 系统的安全性。此扩展允许用户拦截和操作 SAML 消息,以及在基于 SAML 的系统上执行安全测试。SAML Raider 是识别 SAML 实施中的漏洞和错误配置的宝贵工具,可以帮助组织提高 SSO 系统的安全性。该扩展易于使用,并与其他 Burp Suite 工具无缝集成,使其成为任何安全专业人员工具包的强大补充。

允许拦截和操纵 SAML 消息

支持 SAML 请求和响应

提供 SAML 消息的可视化表示以便于分析

允许将恶意负载注入 SAML 消息中

可以使用自定义证书签署 SAML 消息

提供用于修改 SAML 消息的目标和颁发者的选项

IP Rotate

22款burpsuite常用插件

对于那些进行网络安全评估或参与可能需要匿名的基于网络的活动的人来说,IP Rotate Burp Suite 扩展是一个有价值的工具。此扩展允许用户根据每个请求轮换其 IP 地址,从而使目标网站或系统更难以跟踪或阻止其活动。这对于测试基于 IP 的防火墙规则的有效性或避免入侵检测系统的检测特别有用。此外,IP 轮换扩展可以配置为使用指定的 IP 地址范围,从而允许用户选择在其请求中使用的 IP 地址的位置和类型。总体而言,对于那些希望为其基于 Web 的活动添加额外的安全性和匿名性的人来说,IP Rotate 扩展是 Burp Suite 工具包的有用补充。

允许在 burp 扫描期间轮换使用的 IP 地址

可以设置为按设定的时间间隔自动轮换或由用户手动触发

可以使用预定义的 IP 地址列表或随机生成新的 IP 地址

允许绕过基于 IP 的速率限制或访问限制

提供 HTTP 和 SOCKS 代理配置选项

允许在扫描期间在多个 IP 地址之间轻松切换,以提高匿名性。

AWS Security Checks

Burp Suite 的 AWS Security Checks 扩展是任何使用 Amazon Web Services 的组织的必备工具。此扩展有助于识别和缓解 AWS 基础设施中潜在的安全漏洞。凭借其强大的扫描功能,AWS Security Checks 扩展可以检测访问控制、网络和数据存储方面的问题,并识别可能导致安全漏洞的错误配置。此扩展是确保 AWS 环境安全的宝贵资源,并且应该成为任何组织安全工具包的关键组件。

扫描 AWS 资源是否存在错误配置和安全漏洞

允许发现和测试 AWS IAM 角色和策略

针对 AWS S3 存储桶权限和 ACL 中的潜在安全问题提供警报

提供自动修复已识别安全问题的选项

与 AWS API 集成,可在 Burp Suite 平台内进行无缝测试和分析

Headless Burp

Headless Burp Suite 扩展是一个强大的工具,用于对 Web 应用程序执行自动化安全测试。它允许用户在无头环境中运行扫描并执行操作,这意味着它可以在不需要图形用户界面的情况下运行。这使得它非常适合在持续集成环境中使用,在这种环境中,定期安全测试可以无缝地融入到开发过程中。由于能够与其他 Burp Suite 工具集成并自定义扫描设置,Headless 扩展对于任何希望提高测试效率的安全专业人员来说都是宝贵的资产。

能够在无头模式下运行 Burp Suite,无需 GUI 界面。

可以在服务器或其他没有 GUI 的环境中运行。

允许使用命令行进行自动扫描和测试。

可用于并行执行大量目标扫描,提高效率。

Nuclei Burp Integration

22款burpsuite常用插件

Nuclei Burp Integration 扩展是一个强大的工具,用于在 Burp Suite 环境中执行有针对性的全面漏洞测试。它允许集成用于扫描的自定义模板,提供有关已识别漏洞的详细且可操作的信息。此扩展还允许与 Burp Suite 工具集的其余部分无缝集成,从而可以轻松地在测试过程中确定优先级并跟踪已识别的漏洞。总体而言,Nuclei Burp Integration 扩展对于任何希望有效识别和解决潜在安全风险的渗透测试人员来说都是宝贵的资产。

与 Nuclei 扫描器集成,执行有针对性的全面漏洞测试

允许使用自定义模板进行扫描

原文始发于微信公众号(黑熊安全):22款burpsuite常用插件

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月28日11:08:34
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   22款burpsuite常用插件https://cn-sec.com/archives/2532658.html

发表评论

匿名网友 填写信息